Un virus borró la contabilidad del Granada CF tras salir Pina y Pozzo

investigación judicial a pina

El servidor pudo ser infectado por un empleado de Udinese, con control remoto, a los pocos días de la venta del club a Jiang Lizhang, coincidiendo con la llegada de unos auditores

Granada/El lunes 4 de julio de 2016, recién firmado el contrato de compra del Granada CF por parte del actual presidente Jiang Lizhang, un equipo de auditores enviados por el Consejo Superior de Deportes se presentó en las dependencias del club rojiblanco y descubrió que el sistema de contabilidad y facturación estaba afectado por un virus informático. Las averiguaciones e informes posteriores han concluido que la infección fue introducida el sábado anterior a través de un acceso remoto por el usuario 'Italia', que correspondería a un encargado de la contabilidad del club Udinese Calcio, propiedad de la familia Pozzo.

La incidencia informática tardó varios días en solucionarse para volver a utilizar la aplicación de contabilidad, si bien los registros quedaron borrados. Es decir, no se puede saber nada respecto de los accesos que se hubieran producido hasta esa fecha al sistema de facturas y cuentas del club. De ahí que los auditores de la firma encargada, BDO, concluyeran en su informe que la situación provocada por el virus "origina cierta duda sobre si los documentos contables utilizados hubieran podido verse afectados o manipulados durante el transcurso de nuestro trabajo".

El informe de auditoría complementario para aclarar "determinados aspectos" que fueron denunciados sobre las cuentas del Granada CF en la temporada 2015/16 fue encargado por el Consejo Superior de Deportes a petición de la propia Liga de Fútbol Profesional. Mientras esto ocurría, en paralelo, la Fiscalía de la Audiencia Nacional y la Unidad Central de Delincuencia Económica y Fiscal (UDEF) de la Policía ya estaban investigando los posibles delitos fiscales y de blanqueo de capitales en la época en que Enrique Pina y Gino Pozzo controlaban el Granada Club de Fútbol. En octubre de ese mismo año, 2016, la fiscal instructora reclamó los informes de auditoría (tanto el realizado en 2015 como el complementario de 2016). Todo lo averiguado, incluida la constancia de este incidente informático, fue incorporado a la causa judicial que poco después (el 28 de diciembre de 2016) abrió el juez José de la Mata en el Juzgado Central de Instrucción número 5.

El informe de la auditoría contiene un anexo con la información facilitada por la empresa informática que acudió para la reparación de los ordenadores del Departamento Financiero del club aquel 4 de julio. El fallo se produjo en la aplicación Sage Murano, que se utilizaba en el club rojiblanco para el control de contabilidad y facturación. Ese sistema estaba instalado en un servidor que estaba ubicado físicamente en el almacén de sus propias dependencias.

Al ver la gravedad de la situación, el primer técnico que acudió tuvo que llamar a otras personas de la empresa y a partir de ese momento trabajaron "día y noche" hasta su restablecimiento dos días después. No obstante, como hacían constar los auditores, los registros de acceso se había borrado, de modo que los datos existentes podrían haber sido "manipulados".

El servidor estaba afectado por un Ramsomware Crysis, el virus que encripta todos los ficheros y programas. También estaba afectado el propio servidor con las copias de seguridad diarias que se hacen. Lo normal, como explicaban los técnicos, es que en estos casos aparezca un fichero con los datos de contacto para poder pagar un rescate. Lo que se suele llamar la "medicina" para el ordenador. Pero esta vez no había rastro de eso, de modo que ni siquiera había opción de negociar el salvamento de la contabilidad del Granada CF. "Los ficheros aparecían encriptados y sin posibilidad de vuelta atrás", concluye el técnico.

Finalmente se pudo rescatar una copia de seguridad del 1 de julio (un día antes del ataque del virus) y comenzaron a analizar cómo se podría haber producido la infección.

El borrado de los registros del sistema podría deberse al propio virus o a la acción de un usuario concreto para borrar las huellas de cualquier acceso. El fichero más antiguo, el que apuntan como causante del virus lanzado desde Italia, estaba alojado en la carpeta de documentos del usuario 'Italia', que tenía activado el acceso remoto al servidor. Su fecha de creación es el 2 de julio de 2016 a las 19:13 horas.

A partir de ese momento se eliminaron los accesos remotos y se bloquearon todos los usuarios que no fueran autorizados como estrictamente necesarios, para limitar el número de personas que tuvieran acceso al sistema.

Esa auditoría complementaria había comenzado unos días antes del incidente, el 29 de junio, con la petición de documentación al club referida a la contabilidad del ejercicio 2015/2016. En los diarios y saldos contables que fueron remitidos, los auditores destacan que han encontrado "apuntes manuales, apuntes en festivos y fines de semana y asientos no correlativos", incidencias que trataban de averiguar cuando se produjo el ataque informático.

stats